ASIP Santé 06/02/15. Classification : Non sensible public 2 / 16

Transcription

1

2 Le Ministère de la Santé, via son programme «Hôpital numérique», soutient l amélioration de la qualité de service et de la performance des établissements de santé par le développement et la promotion du bon usage des technologies de l information. Les actions conduites dans ce cadre concernent l ensemble des acteurs, aussi bien les utilisateurs que les fournisseurs de systèmes d information. Le résultat de ces actions ne sera pleinement atteint que si l ensemble des acteurs s y engagent pleinement dans le respect des règles de l art. Le label élaboré dans le cadre du programme Hôpital numérique sera attribué à un produit d une part s il respecte un Référentiel Fonctionnel et d autre part si l industriel qui le fournit respecte le Référentiel Qualité auditable spécifiant les exigences relatives au système de management de la qualité de l industriel. Ce document précise les exigences s appliquant aux organismes certificateurs désirant établir une convention avec l ASIP Santé pour la certification de SMQ des industriels fournisseurs de solutions informatiques selon le Référentiel Qualité auditable. L Agence des Systèmes d Information Partagés de Santé (ASIP Santé) publie le document intitulé Exigences spécifiques pour les organismes procédant à l'audit et à la certification de SMQ des industriels fournisseurs de solutions informatiques à destination des professionnels et structures de santé pour concertation publique jusqu au 31 mars Dans le cadre de cette concertation, toutes les parties prenantes sont invitées à apporter leurs remarques et commentaires via le modèle de fiche de lecture accompagnant le document sur le site de l ASIP Santé, et de les envoyer à l adresse : labellisation-concertation@sante.gouv.fr Ces éléments feront l objet d une note de synthèse et permettront de produire la version définitive du document qui s appliquera dans le cadre de la labellisation du Programme Hôpital Numérique Classification : Non sensible public 2 / 16

3 Documents de référence 1. Référence n 1 : PR NF EN ISO 9001 Juillet 2014 : Avant-projet de norme soumis à enquête publique jusqu au : 25/07/ Référence n 2 : NF EN ISO Septembre 2012 : Norme européenne avec statut de norme française et reproduction intégrale de la Norme internationale ISO 13485: Référence n 3 : NF EN ISO Janvier 2012 : Lignes directrices pour l'audit des systèmes de management 4. Référence n 4 : Référentiel Qualité auditable Historique du document Version Date Commentaires V /02/15 Version pour concertation publique Classification : Non sensible public 3 / 16

4 Sommaire 1. Objet du document Conformité aux Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management Exigences spécifiques Annexe 1 : Définition des écarts par rapport aux exigences du Référentiel Qualité auditable Annexe 2 : Glossaire...15 Classification : Non sensible public 4 / 16

5 1. Objet du document Le présent document a pour objet de définir les exigences spécifiques s appliquant aux organismes certificateurs désirant établir une convention avec l ASIP Santé pour la certification de SMQ des industriels fournisseurs de solutions informatiques selon le Référentiel Qualité auditable établi par la DSSIS et l ASIP Santé. Les exigences de ce document concernent l organisme certificateur, ses ressources et la procédure de certification mise en œuvre pour la certification. 2. Conformité aux Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management Les exigences décrites dans le document s appliquent aux Organismes Certificateurs en complément des exigences figurant dans la Norme Internationale ISO/CEI 17021:2011. Dans la suite du document, seules les exigences spécifiques à la certification qualité (nom de la certification à compléter) sont précisées. Les exigences spécifiques sont rapportées aux chapitres concernés de la Norme ISO/CEI 17021:2011. L évaluation de la conformité aux exigences du Référentiel Qualité auditable, peut être réalisée dans le cadre de l audit initial de certification ISO 9001 ou ISO du SMQ de l industriel, ou dans le cadre d un audit de surveillance ou de renouvellement pour un industriel dont le SMQ est déjà certifié ISO 9001 ou ISO Exigences spécifiques 3.1. Domaine d application Ce document est destiné à tout organisme certificateur souhaitant établir une convention avec l ASIP Santé pour la certification du SMQ des industriels suivant le Référentiel Qualité auditable. Norme d évaluation de la conformité Référence à l exigence concrète imposée par la norme Norme ISO/CEI chapitre 1 «Domaine d application» 3.2. Documents de référence Il appartient à tout organisme conventionné avec l ASIP Santé pour la certification de SMQ suivant le Référentiel Qualité auditable de se tenir informé des documents de référence et de prendre en compte la réglementation applicable en vigueur. Normes o o o Norme NF EN ISO/CEI : «Evaluation de la conformité Exigences pour les organismes procédant à l audit et à la certification de systèmes de management». Norme PR NF EN ISO 9001 Juillet 2014 : Avant-projet de norme soumis à enquête publique jusqu au : 25/07/2014 Norme NF EN ISO 9001 Novembre 2008 : Norme européenne avec statut de norme française Classification : Non sensible public 5 / 16

6 o Norme NF EN ISO Septembre 2012 : Norme européenne avec statut de norme française et reproduction intégrale de la Norme internationale ISO 13485:2003 o Norme NF EN ISO Janvier 2012 : Lignes directrices pour l'audit des systèmes de management Lignes directrices o Les lignes directrices de l IAF relatives au transfert de certification, aux multi sites et à l utilisation des techniques d audit assistées par ordinateur sont applicables (respectivement, documents IAF MD2, IAF MD1 et IAF MD 4). Ces documents sont disponibles sur le site internet du COFRAC : Autres documents o Référentiel Qualité auditable Norme d évaluation de la conformité Référence à l exigence concrète imposée par la norme Norme ISO/CEI Chapitre 2 «Références normatives» 3.3. Définitions Le Référentiel Qualité auditable est un document public basé sur les exigences d une norme d organisation d un système de management de la qualité (normes ISO 9001:2008 ou ISO 9001:2015 ou ISO 13485:2012) et sur des exigences complémentaires spécifiques aux industriels fournisseurs de solutions informatiques à destination des structures et professionnels de santé. Ce document s adresse : aux industriels, souhaitant s inscrire dans le processus de labellisation (nom du label à compléter); o éditeurs de logiciels (produits standard sur étagère, progiciels), o développeurs de logiciels (logiciels à façon) que ce soit des prestataires de services (sociétés qui assurent des prestations de développement) ou des structures et professionnels de santé qui développent eux-mêmes leurs logiciels et qui les commercialisent, o intégrateurs de logiciels qui distribuent des applications métiers et/ou qui sont amenés à réaliser des systèmes d intégration destinés à être commercialisés, o fournisseurs de solution en mode service (SaaS) ; aux organismes certificateurs, à titre de référentiel ; aux structures et professionnels de santé, utilisateurs finaux des solutions informatiques et clients des organismes certificateurs, souhaitant prendre connaissance des critères de certification. Dans l ensemble du document, le terme «industriel» désigne potentiellement tout opérateur cité cidessus : éditeurs de logiciels, développeurs de logiciels (prestataires de services ou structures et professionnels de santé qui développent eux-mêmes leurs logiciels et qui les commercialisent), intégrateurs de logiciels, fournisseurs de solution en mode SaaS. Dans l ensemble du document le terme «organisme certificateur» désigne un organisme accrédité selon la Norme NF EN ISO/CEI en vigueur, par un organisme d accréditation, pour la Classification : Non sensible public 6 / 16

7 certification ISO 9001 ou 13485, et qui effectue au titre de son conventionnement avec l ASIP Santé des activités d évaluation de la conformité des Systèmes de Management de la Qualité (désigné SMQ dans le document) des industriels, au Référentiel Qualité auditable, établi par l ASIP Santé. Dans l ensemble du document le terme «organisme d accréditation» désigne tout organisme adhérent à EA (European co-operation for Accreditation), ILAC (International Laboratory Accreditation Co-operation) ou IAF (International Accreditation Forum). Dans l ensemble du document, le terme «structure et professionnel de santé» désigne les établissements de santé, les structures de soins et professionnels de santé libéraux. Norme d évaluation de la conformité Référence à l exigence concrète imposée par la norme Norme ISO/CEI Chapitre 3 «Termes et définition» 3.4. Exigences générales à satisfaire par l organisme certificateur Tout organisme certificateur souhaitant opérer sur la certification du SMQ des industriels suivant le Référentiel Qualité auditable doit : disposer d une accréditation selon la Norme NF EN ISO/CEI en vigueur, par un organisme d accréditation, pour la certification ISO 9001 ou signer une convention avec l ASIP Santé l engageant à prendre connaissance et à respecter l ensemble des modalités présentées dans les documents de référence listés en paragraphe 2, dans le cadre de ses activités effectuées au titre du conventionnement avec l ASIP Santé, et notamment les exigences et modalités de contrôle imposées par les référentiels d accréditation et procédures en vigueur (NF EN ISO/CEI 17021) Norme d évaluation de la conformité Norme ISO/CEI Référence à l exigence concrète imposée par la norme Chapitres 5 «Exigences générales» et 6 «Exigences structurelles» 3.5. Exigences relatives aux ressources Au moins un des membres de l équipe d audit dispose des compétences permettant d intervenir chez les industriels dont le code NACE est 72 (Activités informatiques et activités connexes). La Nomenclature NACE est propre à la Communauté Européenne, il existe une correspondance avec d autres nomenclatures, notamment : la Nomenclature Internationale ISIC, pour laquelle le code correspondant est identique : 72 la Nomenclature EA, pour laquelle le code correspondant est : 33 Dans le cas où l organisme certificateur met en place une équipe d audit, les membres de cette équipe doivent justifier collectivement des expériences et qualifications listées ci-dessus. Classification : Non sensible public 7 / 16

8 Norme d organisation SMQ Référence à l exigence qualité concrète imposée par la norme NF EN ISO/CEI chapitre 7 «Exigences relatives aux ressources» 3.6. Exigences relatives aux informations Les règles de certification de l Organisme Certificateur doivent prévoir le délai maximum pour l organisation de l audit, une fois le dossier de candidature complet et conforme ainsi que les éléments relatifs aux seuils d acceptabilité du plan d action à l issu de l audit (conformément aux précisions donnés au chapitre 4.7, dans le paragraphe «Revue du plan d actions»). Norme d organisation SMQ NF EN ISO/CEI Référence à l exigence qualité concrète imposée par la norme chapitre 8.1 «Informations accessibles au public» et 8.2 «Documents de certification» L organisme certificateur informe l ASIP Santé selon les modalités (format, fréquence et processus) décrites dans la convention établie entre l ASIP Santé et l organisme certificateur. Norme d organisation SMQ NF EN ISO/CEI Référence à l exigence qualité concrète imposée par la norme chapitre 8.3 «Répertoire des clients certifiés» L organisme certificateur respecte les modalités décrites dans la convention établie entre l ASIP Santé et l organisme certificateur. Norme d organisation SMQ NF EN ISO/CEI Référence à l exigence qualité concrète imposée par la norme chapitre 8.4 «Référence à la certification et utilisation des marques» 3.7. Exigences relatives au processus de certification Candidature à la certification L industriel qui désire être certifié suivant le Référentiel Qualité auditable, adresse une lettre de candidature à la certification à l un des organismes certificateurs conventionnés avec l ASIP Santé dont la liste est publiée sur le site (nom du site à compléter). L organisme certificateur envoie au candidat un dossier comprenant la liste des documents suivants, constituant le dossier de candidature : La note «Politique de l industriel» (selon la définition précisée dans le Référentiel Qualité auditable) ainsi que le document contenant les évolutions de cette politique, nommé note «Evolution annuelle de la politique» dans le référentiel (ce document n est pas nécessairement distinct de la note «Politique de l industriel»). Les plans produits de chacun des produits inclus dans l offre de l industriel La documentation relative à la dernière version distribuée de chacun de ces produits, constituée des éléments précisés dans le référentiel pour toute documentation d une version distribuée d un produit Les plans de tests sur site pilote de la dernière version majeure distribuée de chacun des produits de l industriel. Classification : Non sensible public 8 / 16

9 La preuve de dépôt des sources chez un tiers de confiance pour la dernière version majeure de chacun des produits (ou à défaut une preuve datant de moins d un an). Le modèle de plan qualité proposé systématiquement au client dans le cadre d un projet Le modèle d engagement de confidentialité Un engagement sur l honneur du candidat à ne présenter une demande de certification qu à un seul organisme. En cas de retrait de certificat préalable à la candidature, le dernier rapport d audit et le plan d actions associé Analyse de la candidature Si le dossier de candidature est incomplet ou si une des pièces du dossier (parmi celles listées cidessus) n est pas conforme aux exigences du Référentiel Qualité auditable l organisme certificateur en informe le candidat sous un délai d un mois à réception du dossier. L organisme certificateur informe l ASIP Santé si le dossier est accepté et s il y a rejet de la candidature. Durée des audits L évaluation de la conformité aux exigences du Référentiel Qualité auditable, peut être réalisée dans le cadre de l audit initiale de certification ISO 9001 ou ISO du SMQ de l industriel, ou dans le cadre d un audit de surveillance ou de renouvellement pour un industriel dont le SMQ est déjà certifié ISO 9001 ou ISO Le nombre de jours impartis à l étape 1 de l évaluation de la conformité aux exigences du Référentiel Qualité auditable (audit initial) est de 0,25 jour : Si l audit s inscrit dans le cadre d un audit initial de certification ISO 9001 ou ISO du SMQ de l industriel, il est recommandé qu'au moins une partie de l'audit d'étape 1 soit réalisée dans les locaux de ce dernier, à l occasion de l étape 1 de certification ISO 9001 ou ISO Si l audit s inscrit dans le cadre d un audit de surveillance ou de renouvellement de l ISO 9001 ou ISO 13485, l étape 1 pourra être réalisée hors site en amont de manière à garantir la réalisation de l étape 2 sur site, à l occasion de l audit de surveillance ou de renouvellement sur site. Les nombre de jours impartis aux audits d évaluation de la conformité aux exigences du Référentiel Qualité auditable sur site (conformément au tableau ci-dessous) s ajoute ainsi au nombre de jours impartis aux audits de conformité aux exigences de l ISO 9001 ou sur site (soit à l étape 2 de l audit initial, soit à l audit de surveillance, soit à l audit de renouvellement). Nombre d employés total Durée de l étape 2 de l audit sur site (jours) Durée de l audit de surveillance Durée de l audit de renouvellement , ,5 1 1 Classification : Non sensible public 9 / 16

10 ,5 1 1 > Classement des écarts Chaque non-conformité constatée par rapport à une exigence du référentiel est classée en écart mineur ou majeur, selon les définitions détaillées dans l annexe 1 «Définition des écarts par rapport aux exigences du Référentiel Qualité auditable». Revue du plan d actions La revue du plan d actions intervient au cours du 4 ème mois après l audit sur site, de manière à permettre à l industriel de corriger tous les écarts majeurs dans ce délai et à réduire le nombre d écarts mineurs au seuil maximum toléré. Le Référentiel Qualité auditable, la qualification des écarts (annexe 1) et les seuils d acceptabilité sont connus de l industriel dès sa candidature. Ainsi les délais de résolution maximum, inscrit dans le plan d action, en fonction du niveau de criticité de l écart sont les suivants : o 3 mois pour un écart majeur o 6 mois pour un écart mineur Le nombre maximum d écarts résiduels acceptés pour permettre la délivrance du certificat, après revue du plan d actions sont les suivants : o Nombre maximal d écarts majeurs résiduels pour la délivrance du certificat : 0 o Nombre maximal d écarts mineurs résiduels pour la délivrance du certificat : 3 Tant que le nombre d écarts majeurs ou mineurs constatés est supérieur aux seuils définis ci-dessus, l organisme certificateur ne peut pas délivrer le certificat. Délivrance du certificat Le certificat est délivré à l industriel par l organisme certificateur et autorise celui-ci à faire figurer dans ses documents commerciaux la mention «certifié qualité (nom du certificat à compléter)». Les documents diffusés par l industriel ne doivent comporter aucune référence à l organisme certificateur (logo et/ou référence textuelle). Dans tous les cas, les dépenses générées par la procédure de certification (frais de dossiers, audits, déplacements, etc.) sont à la charge de l industriel candidat. L organisme certificateur informe l ASIP Santé de la délivrance du certificat. La liste des industriels certifiés qualité (nom du certificat à compléter) est publiée sur le site de l ASIP Santé (lien à compléter). Suspension et retrait Si un organisme est amené à retirer ou suspendre un certificat, il en informe également l ASIP santé. Classification : Non sensible public 10 / 16

11 L industriel pourra effectuer, sans délai, une nouvelle candidature auprès du même organisme certificateur ou d un autre. Rupture de contrat entre l organisme certificateur et l industriel Quelle que soit la raison de rupture du contrat entre l organisme certificateur et l industriel, l organisme certificateur communique le dernier rapport d audit et le plan d action revu à l ASIP Santé. Norme d organisation SMQ Référence à l exigence qualité concrète imposée par la norme NF EN ISO/CEI chapitre 9 «Exigences relatives aux processus» Classification : Non sensible public 11 / 16

12 4. Annexe 1 : Définition des écarts par rapport aux exigences du Référentiel Qualité auditable Référence de l'exigence Définition de l écart Criticité de l écart Mineur Majeur 3.1 Communication de la La note ne respecte pas le plan type. note «Politique de Les procédures portant l'exigence 3.1 ne sont pas l industriel» Les procédures ne prennent pas en compte l'exigence 3.1 La note politique de l'industriel n'existe pas 3.2 Communication de la Les procédures portant l'exigence 3.2 ne sont pas note «évolution annuelle de la politique Les procédures ne prennent pas en compte l'exigence 3.2» Documentation Les procédures portant l'exigence ne sont pas relative à l évolution des produits Les procédures ne prennent pas en compte l'exigence Le plan produit n'existe pas ou est mis à disposition de moins de 75% des clients utilisant ce produit La documentation d'une version distribuée d'un produit n'est pas disponible, ou est remise à moins de 75% des clients utilisant cette version Détection des dysfonctionnements Les procédures portant l'exigence ne sont pas Les procédures ne prennent pas en compte l'exigence Un événement indésirable critique n'a fait l'objet d'aucune diffusion Tests en usine des Les procédures portant l'exigence ne sont pas produits Les procédures ne prennent pas en compte l'exigence Les procédures portant l'exigence sont totalement respectées dans moins de 75% des cas Site pilote Les procédures portant l'exigence ne sont pas Les procédures ne prennent pas en compte l'exigence Maintenance Les procédures portant l'exigence ne sont pas corrective et interventions Les procédures ne prennent pas en compte l'exigence Moins de 75% des clients exploitant un produit font l'objet d'un registre des interventions. Moins de 75% des contrats clients signés depuis la mise en œuvre des procédures portant l'exigence mentionnent les délais de corrections d'anomalies. Moins de 75% des corrections à chaud apparaissant dans les registres d'interventions ont fait l'objet d'une autorisation préalable par le client Gestion des Les procédures portant l'exigence ne sont pas évolutions légales et réglementaires Les procédures ne prennent pas en compte l'exigence Moins de 75% des contrats clients signés depuis la mise en œuvre des procédures portant l'exigence contiennent les clauses d'engagement relatives à la prise en compte des exigences réglementaires et légales. Classification : Non sensible public 12 / 16

13 Référence de l'exigence Définition de l écart Criticité de l écart Mineur Majeur Limitation de la Les procédures portant l'exigence ne sont pas fréquence des livraisons Les procédures ne prennent pas en compte l'exigence Mise à jour de la Les procédures portant l'exigence ne sont pas documentation produit Les procédures ne prennent pas en compte l'exigence Pérennité des Les procédures portant l'exigence ne sont pas solutions Les procédures ne prennent pas en compte l'exigence Moins de 75% des contrats clients signés depuis la mise en œuvre des procédures portant l'exigence contiennent la durée du support d'une version majeure Il existe une version majeure distribuée dont les sources n'ont pas été déposées chez un tiers de confiance Fonctionnement Les procédures portant l'exigence ne sont pas en mode dégradé Les procédures ne prennent pas en compte l'exigence Garantie Les procédures portant l'exigence ne sont pas Les procédures ne prennent pas en compte l'exigence Moins de 75% des contrats clients signés depuis la mise en œuvre des procédures portant l'exigence décrivent formellement la période de garantie et les services associés à cette période Durée Les procédures portant l'exigence ne sont pas d indisponibilité et mise à jour à chaud Les procédures ne prennent pas en compte l'exigence Moins de 75% des contrats clients signés depuis la mise en œuvre des procédures portant l'exigence stipule une durée maximale d indisponibilité du produit inférieure ou égale à 4H, lors d une mise à jour Pérennité des Les procédures portant l'exigence ne sont pas équipes industrielles Les procédures ne prennent pas en compte l'exigence Accompagnement Le catalogue de l'industriel ne contient pas de prestations renforcé d'accompagnement renforcé Qualité Les procédures portant l'exigence ne sont pas Outils communs de Les procédures portant l'exigence ne sont pas pilotage Les procédures ne prennent pas en compte l'exigence Les procédures ne prennent pas en compte l'exigence Sécurité et analyse Les procédures portant l'exigence ne sont pas de risque du projet Les procédures ne prennent pas en compte l'exigence Moins de 75% des projets lancés depuis la mise en œuvre des procédures portant l'exigence contiennent une analyse des risques du projet Interopérabilité Les procédures portant l'exigence ne sont pas Les procédures ne prennent pas en compte l'exigence Classification : Non sensible public 13 / 16

14 Référence de l'exigence Définition de l écart Criticité de l écart Mineur Majeur Sécurité des Les procédures portant l'exigence ne sont pas données sensibles Les procédures ne prennent pas en compte l'exigence Moins de 75% des interventions d'équipe technique enregistrées comportent l'identification nominative de l'intervenant Respect de la Les procédures portant l'exigence ne sont pas politique de sécurité PGSSI-S Les procédures ne prennent pas en compte l'exigence Classification : Non sensible public 14 / 16

15 5. Annexe 2 : Glossaire Mise à jour à chaud : possibilité de mettre à jour le code d une application sans interrompre le service. Mode SaaS : Le logiciel en tant que service ou en anglais "Software as a Service" est un concept consistant à proposer un abonnement à un logiciel plutôt que l'achat d'une licence. Les ressources (données, application, serveurs ) sont externalisées au lieu d'être chez le client. PGSSI-S : Politique générale de Sécurité des systèmes d Information de Santé. Plan qualité projet : Le plan qualité projet est un document émanant de l industriel énonçant les pratiques, les moyens et la séquence des activités liées à la conduite d un projet ou à l exécution d un contrat particulier. Version intermédiaire : version apportant principalement des corrections de bugs ou des ajouts de fonctionnalités secondaires (version logicielle n impactant pas l organisation de l établissement). Version majeure : Les évolutions majeures apportent de nouvelles fonctionnalités, voire restructurent complètement l'application. (Version logicielle impactant l organisation de l établissement. Classification : Non sensible public 15 / 16

16 Classification : Non sensible public 16 / 16